论文研究-IMS网络侦查系统的设计 .pdf

所需积分/C币:6 2019-08-16 16:09:41 969KB .PDF
13
收藏 收藏
举报

IMS网络侦查系统的设计,胡健,,本文给出了一种基于IMS网络脆弱性评测系统的IMS网络侦查系统的详细设计。本系统可通过分布式方式进行大规模部署,其采用POSIX接口进�
国科花论文在统 侦查模块对外主要提供两大接冂: ,均有控制接冂了模垬( )对外提供。 主要用于外鄙客户进行策略操作,用户可以通过添加、修改、删除策略来控制 侦査模垬的运行。当设置相应的箎略时,系统就会根据这个策略进行网终信息的收集并存入 脆弱性数据库; 主要用于外部客户进行结果操作,通过此接口,用户何以灵活的查 询扫描到的结果。用扫描到的结果分析网络的运行状态,并进行调整和改变网络部署。 侦査模块所设计的接口仅为原始接口(语言实现),外部用户使用时,需要通过添加 垫层( )进行适配,经过适配侦查模块可运行在各种操作系统中。适配的方法包括但 不限于接口封装、编译环境等。根据不同的业务场景,通过建立 层,侦查模块能够 以各种形式进行部署,如图: Server Server Server Client 侦查模块 deface Adapter CLI Windows 图形界面 MacOs IMSs脆弱性 评估子系统 图侦查模块适配示意图 侦查模块功能设计 为了实现一个可独立运行的侦查模块,其需要完成如下几大功能 ●用户接口 ●在网络中进行数据捕获 ●对扫描到的数据进行预处理 数据存储与管理 扌描策略 扌描结果 ●底层通信适配 下面将对这几大功能进行分别详细描述 用户接囗 用户接口是为了方便用户使用系统资源所提供的一组函数调用(或消息接口),用户通 过约定的格式将信息传递给系统,驱动系统进行运转。在侦杏模块中,我们需要对外部用户 提供一套完整的策略添加、修改、刪除接口。这些接口必须可以完全描述策略使能的时间 国科花论文在线 过滤的条件、存储的位置与信息量等。 数据捕获 侦査模块的核心功能是对数据进行捕获,数据捕获的效率将成为系统性能和容量的关键 瓶颈点。大容量、低系统占用是我们系统设计的原则。 数据预处理 数据预处珥是本系统的辅助处理模块,它将捕获到的数据进行简单过滤并交给其他处理 模块进行使用。 数据存储与管理 对于现网情况,效据量是非常庞大的,大量的 建立,如何存储这些信息。 通信适配 由于本系统约束,组件间的部署有可能不在同台主机内,为了提供统的编程接∏与 编程风格,我们不采用共享内存的方式进行组件间通信。在分布式的情况下,我们采用异步 消息通信的方式进行组件间消息父互。 模块架构 逻辑视图 侦査模块有六部分组成,分别为:控制接口子模块( )、策略管子理 模块( 、数据捕获子模块( 数据分析子模 块( )、数据存储了模块 )、通信了模块 。其中 为核心打描模块如图。 控制/接口子模块 核心扫描模块 会话管 户命令解析 理模块 F消息生成 输入信息处理 插件管 理模块 Destnat ian 1 用 数据处理子模块 信息管理 扫描引擎 报告 结果 生成 信息 模块 分析 插件库 Destnation∠ 输出信息处理 标 扫描结果 Destnat ion3 报告脆弱性信息数据库策略管理、数据捕获、数据分析了模块 图扌描构建结构图 如上图所示,侦查模块采用 的架构模式,将上述五个功能单元划分到两个 大的功能实体中。 国科花论文在线 客户端()包含:控制接∏了模玦、数据存储了模块、策略管珒了模块: 服务器()包含:控制接∏了模块、数据捕获了模块、数据分析了模块: 通信模块作为基础攴撑模块负责屏蔽之间通信。 进程视图 控制/接口策略管理数据捕获 子模块子模块子模块 数据分析数据存储∏通信子模 子模块子模块 块 扫描构建逻辑部署视图 图集中式部署 Server Client 控制/接策略管理 控制/接 口子模块子模块 子模块 数据捕获数据分析 通信子模 子模块‖子模块 块 数据存储通信子模 子模块 块 扫描构建逻辑部署视图 图分布式部署 工作原理基本流程 模块加载 组件的每一个子模块分别以独立的动态库提供,方使系统的灵活部署。 在系统启动过程中,无论是集中式还是分布式部署,组件最先被加载的是控制接口子 模块,并通过读取配置的方式动态的加载需要的模块,如图 国科花论文在统 System Start Load Control/UI XML Configu Server Client Server Client 图组件加载时序图 策略添加 和于扫描构件是山外部添加策略驱动,通过策略进行数据的采样与简单过滤。因此,策 眳的灵活性应用是组成为本构件的重要机制,为后续软件的扩展性提供有力的保证。策略可 通过用户命令行配置、端下发配置、配置厍读取等多种方式添加,当策略成功添加后, 扫描引擎会根据策略中的匹配规则进行数据捕获、初步过滤以及打包发送 信息捕获、分析 信息的捕获采用开源作为底层基础服务,通过多线程机制加速网络搜索能力,在 网卡的混杂模式将网络中的报文截取。捕获后的原始报文流将转交给分析模块进行初步的分 析过滤,根据下发的策略过滤用户感兴趣的会话 数据存储 由服务器端发送过来的数据,在数据存储模块中与原有策略进行匹配关联,通过制定的 规则将最终数据存入脆弱性信息数据库。根据用户设置的规则,自动或者被动的将数据通过 设计好的接口提供给外部组仵使用。 基本流程时序图 国科花论文在线 User Contro/ωUl SMM DCM DPM Add strateg Strategy Info Thread poal Data pi Query Result Query Candition Result Result 图基本流程时序图 基于 接口动态库设计 是为要在各和 操作系统上运行的软件,而定义的一系列互相关 联的标准的总称,其正式称呼为 而国际标准名称为 。此标准源 于一个人约开始于年的项目。 这个名称是山理查德·斯托曼应的要求而 提议的一个易于记忆的名称。它基本上是 (可移植操作系 统界面)的缩写,而则表明其对 的传承。 然 没有参加正式的 认证,但是目前的类 系统基本上逐 步实现了 兼容,而微软的 以上的系统部分实现了 接口 Server Inux Mac os erve erer FreebsD Linux 图基于 接口的多渠作系统部署业务图 通过采用 接口开发的动态库,可以灵活加载。如将 四个模块通过一定关系同时加载即构成了侦查模块的服务器端;如果将 所有组件同时加载又可构成一个独立的软件实体,为外部提供仝套侦查服务。这样就可以根 据设备的负载、业务的需求等进行系统的灵活部署。 国科花论文在统 Controlu Strategy Mange Server Module dule Data Data Client Dat: Process Module Module 图侦査模块动态厍结构图 采用动态库设计,可以实现软件的动态升级,同时业务不会发生中断()。随着 企业在统—网络上部署的应用的增多,网终永续性对企业的成功变得越来越重要。无论 是计划外还是计划内的网络停顿都会对业务构成负面影响力。对」侦查业务来说,虽然不需 要过髙的软件可靠性,但是在一定程度上提供软件的动态升级业务不中断,将提供更优质的 用户体验 sLrd杷y Analysls Cunicular Modul Manga nodule Module Mange Module ModulE NeLle Module Modue Data data Data Proo Modulo Module Module Mock 图软件动态升级小意图 设计约束 线程池设计 由于本系统是基于 平台和 平台共同开发的系统,为了保证软件的可移植 性,采用 标准接口进行设计。其中线程池设计如下 国科花论文在统 Thread pool Control Thread 图线程池设计 系统默认创建控制线程( ),并根据当前运行负荷创建线程池,线程池 内位工作线程,每一个工作线程会分配一个 值,工作线稈将被挂在全局搾制树种, 当有外部请求时,消息有控制线稈处理,并根据当前业务状态分配工作线程完成本次请求 (注:请求包含多种,如策眳添加、策略査询、扫摧例程、结果查等,请求可复杂也可简 单)。当业务完成后,释放工作线程有控制线程进行回收以使下次使用。 通信约束 ●异步通信模式 扫描构件的部署情况有多种,当采用分布式部署时无法使用阻塞式的同步调用,否则将 不能达到并发、多任务的设计方式。因此,统一将组件之间的通信模式约束为异步消息方式。 任何组件内部、外部的接口通过消息进行提供,当构件内部处理时,可以为每一个消息 分配一个上下文环境,从而达到异步、并发,满足系统扩展。 Request esponse Request 图异步通信 ●内部消息通信约束 所有扫描构建提供的接∏(对内、对外)均以消息方式驱动,并按照如下结构设 计 国科花论文在统 2 byte 2 byte MESSAGE TYPE MESSAGE LENGTH MESSAGE VALUE 图3-13消息定义 与 均占用两字节构成消息头, 则是消息体, 其内容为 大小定义的结构体,其中 的最后一个字节为 位,标识当前消息为请求消息或者是确认消息。只体结构定义详见接口设计部分。 介于组件间通信有可能跨越⊥机,并且设计底层通信采用方式进行,因此组件间 通信为不可靠的,那么就需要一套有效的机制来保证组件通信可靠。 对于普通的业务请求消息采用一问一答的运行方式,发送端发送了请求消息后需要启动 消息可靠性定时器来保证请求能够被正确的处理,如果没有收到相应的消息,那么需 要重传,只到收到相应消息,或达到重传上限,默认重传上限为次,用户也看根据自身情 况进行定制 另外一种消息通信札制为批量发送消息(如査询数据的结果返回),此类消息一个消息 不能完全容纳下所有薮据,因此需要多次下发,我们采用序列号的机制完成可靠性,在业务 请求时进行序列号的协商,主动发送方根据序列号递增的形式进行发送,接收端每次收到消 息都进行序列号的校验,如果发现乱序则进行报文丢弃,并请求重传 结论 本文给出了本次研究的主要工作,设计了网络脆弱性评测系统中的侦査模块,也 就是一个对网络的脆弱性进行数据捕获的系统。到目前为止,系统的框架部分(也就 是客户端系统框架和服务器模块)已经基夲实现完毕;策略添加目前攴持基于用户、基于时 间、基于消息三种方式的实现;结果査询目前支持基于用户、基于策略、基于消息三秆方式。 通过测试结果表明系统负荷设计的功能需求,主要体现在以下三个方面: 系统框架可以正常的运行,包括客户端框架和服务器 系统框架内可以成功的添加、删狳、查询具体的策略 系统框架内可以成功的查询、删除数据结果。 参考文献 著董文宇厝胜望玉梅译《:移动领域的多媒休概念和服务》 北京机械工业出版社 崔媛媛,刘东明网络安全机制及安全性分析电信网技术第四期 肖丁,吴建林,訚春燕,修佳鹏《软件工程模型与方法》北京邮电大学出版社 著施振川,周利民,孙宏晖等译《网络编程(第一卷)》清华大学出版 社 严蔚敏,吴伟民《数据结构(语言版)》清华大学出版社

...展开详情
试读 11P 论文研究-IMS网络侦查系统的设计 .pdf
立即下载 低至0.43元/次 身份认证VIP会员低至7折
一个资源只可评论一次,评论内容不能少于5个字
您会向同学/朋友/同事推荐我们的CSDN下载吗?
谢谢参与!您的真实评价是我们改进的动力~
关注 私信
上传资源赚钱or赚积分
最新推荐
论文研究-IMS网络侦查系统的设计 .pdf 6积分/C币 立即下载
1/11
论文研究-IMS网络侦查系统的设计 .pdf第1页
论文研究-IMS网络侦查系统的设计 .pdf第2页
论文研究-IMS网络侦查系统的设计 .pdf第3页

试读结束, 可继续读1页

6积分/C币 立即下载 >